CVE-2026-10130 in QueryWeaver
Tóm tắt
Bởi VulDB • 19/07/2026
QueryWeaver chứa một lỗ hổng bỏ qua xác thực (authentication bypass), cho phép các kẻ tấn công chưa được xác thực lấy mã thông báo phiên hợp lệ cho các tài khoản hiện có bằng cách gửi yêu cầu đăng ký với địa chỉ email của nạn nhân đã biết. Tuyến đường signup tạo và liên kết không điều kiện một mã thông báo mới với Identity phù hợp thông qua thao tác Cypher MERGE trước khi kiểm tra xem email đó có thuộc về một tài khoản hiện tại hay không, khiến máy chủ trả về một mã thông báo phiên xác thực hợp lệ cho danh tính của nạn nhân mà không yêu cầu bất kỳ thông tin đăng nhập nào hoặc tương tác từ người dùng.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.